---

Historien er egentlig nogle dage gammel, så det undrer mig lidt at
den ikke allerede har været oppe at vende i gruppen. (Måske har jeg
blot overset den)

Anyway:

Folk spørger ofte hvorfor nogle af os siger, at Personal Firewalls
er noget skrammel som man normalt bør holde sig fra. Svaret er
altid, at hvis man ikke specifikt har brug for en sådan, så er det
bare endnu et "point of failure" som man derfor bør undgå.

Problemet er desværre, at mange ikke tror det er en reel bekymring.
En Personal Firewall er jo et sikkerhedsprodukt, så man forledes til
at mene at det ikke kan have sikkerhedsfejl.

Desværre forholder det sig ikke sådan. Stort set alle produkter
oplever på det ene eller det andet tidspunkt at blive ramt af
alvorlige sikkerhedsfejl. Denne gang skete det for BlackICE
Defender. Næste gang sker det måske for ZA eller Tiny eller en af de
andre.

Case in point:

[snippet fra http://www.iss.net/security_center/alerts/advise109.php]

Internet Security Systems Security Alert
February 4, 2002

Last Revised: February 8, 2002

DoS and Potential Overflow Vulnerability in BlackICE Products

Synopsis:

ISS X-Force is aware of a denial of service vulnerability that may
allow remote attackers to crash or disrupt affected versions of
BlackICE Defender and BlackICE Agent desktop firewall/intrusion
protection products, and affected versions of RealSecure Server
Sensor. X-Force has learned that it may be possible for remote
attackers to exploit this vulnerability to execute arbitrary code on
targeted computers.

Description:

Affected versions of BlackICE Defender, BlackICE Agent, and
RealSecure Server Sensor running on Windows 2000 or Windows XP can
be remotely crashed using a modified ping flood attack. The
vulnerability is caused by a flaw in the routines used for capturing
transmitted packets. Memory can be overwritten in such a manner that
may cause the engine to crash or to behave in an unpredictable
manner. It may be possible for attackers to control which areas of
memory are overwritten, leading to the execution of arbitrary code.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

"Niels Callesøe" skrev

> Tiny

Navnet skulle være udskiftet til Kerio Personal Firewall, det navn er
mailinglisten i alt fald blevet omdøbt til (udvikleren af programmet
har fået kastet en kasse aktier efter sig og har derfor taget job
hos Kerio).

Navnet er ikke skiftet overalt på FAQ-siden endnu:

<URL: http://www.tpffaq.com/cgi-bin/faqmanager.cgi >

<URL: http://groups.yahoo.com/group/keriofirewall/message/9353 >
(kræver registrering):

"From: "Stanislav Kolar" <skolar@t...>
Date: Thu Feb 7, 2002 10:47 am
Subject: Tiny Personal Firewall / Kerio Personal Firewall

ADVERTISEMENT

Hi, All !

There are many questions about Tiny Personal Firewall and Kerio
Personal Firewall, so here is official comments:

======================================

Based on an agreement between Tiny Software and Kerio Technologies, all
further development and sales of Tiny Personal Firewall 2.0 have been
transferred to the newly established company, Kerio Technologies Inc.

On February, Kerio Technologies Inc. will release a successor of Tiny
Personal Firewall 2.0 under the name of Kerio Personal Firewall 2.1.
Apart from the changed name, the new version contains various
improvements requested by our customers and fixes to some driver
related issues.

The original team that developed Tiny Personal Firewall 2.0 and
WinRoute family products continues to work for Kerio Technologies Inc.

Tiny Software Inc. claims to release its own personal firewall under
name Tiny Personal Firewall. However, their software will not be based
on original Tiny Personal Firewall code and Kerio Technologies can no
longer guarantee the quality of software released under the name of
Tiny Personal Firewall.

Kerio Technologies is committed to further development of Kerio
Personal Firewall. We will keep you posted on any news. Meanwhile,
you are encouraged to visit www.kerio.com.

S. Kolar (skolar@k...)"

> Case in point:

> [snippet fra http://www.iss.net/security_center/alerts/advise109.php]
Her er link til patch:

<URL: http://www.iss.net/support/consumer/BI_downloads.php >

eEye har kigget på hvordan problemet kan udnyttes (så det varer sik-
kert ikke længe førend nogle brokker sig over at eEye gør det for nemt
for scriptkiddies, igen igen):

<URL: http://www.eeye.com/html/Research/Advisories/AL20020208.html >

Advisorien blev postet til win2secadvice og bugtraq den 8. februar,
men jeg har nu først modtaget den fredag, muligvis på grund af tids-
zoner etc.

Med venlig hilsen

Peder

---

Peder Vendelbo Mikkelsen wrote in
<news:a44l0j.154.1@mjoelner.aaks.aarhus.dk>:

> (så det varer sik-
> kert ikke længe førend nogle brokker sig over at eEye gør det for
> nemt for scriptkiddies, igen igen):

Hvilket hvist heller ikke kan siges at være nogen urimelig beskyldning.

Ingen tvivl om at eEye er dygtige.. men tag det herværende emne som
eksempel. Er det *virkelig* nødvendigt at aflevere en komplet how-to
(hvor simpel den end måtte være) der beskriver præcis hvorledes "en
hver idiot" kan ligge en hvilken som helst upatchet BID-maskine om på
ryggen?

Det synes jeg ikke.

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

Den 10 Feb 2002 07:28:48 GMT skrev Niels Callesøe:
>Peder Vendelbo Mikkelsen wrote in
><news:a44l0j.154.1@mjoelner.aaks.aarhus.dk>:
>
>> (så det varer sik-
>> kert ikke længe førend nogle brokker sig over at eEye gør det for
>> nemt for scriptkiddies, igen igen):
>
>Hvilket hvist heller ikke kan siges at være nogen urimelig beskyldning.
>
>Ingen tvivl om at eEye er dygtige.. men tag det herværende emne som
>eksempel. Er det *virkelig* nødvendigt at aflevere en komplet how-to
>(hvor simpel den end måtte være) der beskriver præcis hvorledes "en
>hver idiot" kan ligge en hvilken som helst upatchet BID-maskine om på
>ryggen?

Nogen af os opgraderer efter filosofien "if it ain't broken, don't fix
it", og bruger exploits til at teste om problemet også gælder her - og
hvis det gør, bruges den igen bagefter, til at se om problemet er løst.

Derudover kan en god forklaring hjælpe til at finde en midlertidig
løsning på problemet, indtil der er en patch klar.

Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.

---

Kent Friis wrote in <news:a45cfn$lft$1@sunsite.dk>:

> Nogen af os opgraderer efter filosofien "if it ain't broken, don't
> fix it",

Den holdning kan jeg for så vidt godt følge, i hvert fald på
produktionssystemer.

> og bruger exploits til at teste om problemet også gælder
> her - og hvis det gør, bruges den igen bagefter, til at se om
> problemet er løst.

Det forstår jeg til gengæld overhovedet ikke. Mener du virkelig, at
hvis der opdages en sikkerhedsbrist i et stykke software (der kører på
en produktionsmaskine du administrerer), så vil du bruge et
exploit-tool til at "teste om det gælder her [hos dig]" og hvis det
ikke lige virker/crasher/rooter din boks, så vil du iøvrigt fortsætte
somom der ingen risiko var?

Måske misforstår jeg dig. Det håber jeg egentlig.

> Derudover kan en god forklaring hjælpe til at finde en midlertidig
> løsning på problemet, indtil der er en patch klar.

Enig. Men der er langt fra en god forklaring der kan anvendes af
fagfolk, til at angive et specifikt exploit i formen:

$ command --root-box --arg1 --arg2 <target>

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

Den 10 Feb 2002 09:13:06 GMT skrev Niels Callesøe:
>Kent Friis wrote in <news:a45cfn$lft$1@sunsite.dk>:
>
>> Nogen af os opgraderer efter filosofien "if it ain't broken, don't
>> fix it",
>
>Den holdning kan jeg for så vidt godt følge, i hvert fald på
>produktionssystemer.
>
>> og bruger exploits til at teste om problemet også gælder
>> her - og hvis det gør, bruges den igen bagefter, til at se om
>> problemet er løst.
>
>Det forstår jeg til gengæld overhovedet ikke. Mener du virkelig, at
>hvis der opdages en sikkerhedsbrist i et stykke software (der kører på
>en produktionsmaskine du administrerer), så vil du bruge et
>exploit-tool til at "teste om det gælder her [hos dig]" og hvis det
>ikke lige virker/crasher/rooter din boks, så vil du iøvrigt fortsætte
>somom der ingen risiko var?

Det kommer an på - nej, hvis det var fx. SSH, så ville jeg opgradere
under alle omstændigheder. Og det er selvfølgelig ikke exploit'en alene
der afgør om der bliver opgraderet, den tilhørende dokumentation vil
også blive gennemlæst - og vægtet højere.

Hvis problemet iflg. dokumentationen ikke skulle opstå på maskiner med
en bestemt opsætning, så ville jeg nok forsøge exploit'en mod et par
enkelte maskiner med den opsætning, for lige at teste om det passer.

>Måske misforstår jeg dig. Det håber jeg egentlig.

Det var vist mig der er stået lidt for tidligt op. <GAAB>

>> Derudover kan en god forklaring hjælpe til at finde en midlertidig
>> løsning på problemet, indtil der er en patch klar.
>
>Enig. Men der er langt fra en god forklaring der kan anvendes af
>fagfolk, til at angive et specifikt exploit i formen:
>
>$ command --root-box --arg1 --arg2 <target>

Ja, men exploiten skal bruges for at verificere at patch'en rent faktisk
løste problemet.

Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.

---

Kent Friis wrote in <news:a45f18$qij$1@sunsite.dk>:

> Det kommer an på - nej, hvis det var fx. SSH, så ville jeg
> opgradere under alle omstændigheder. Og det er selvfølgelig ikke
> exploit'en alene der afgør om der bliver opgraderet, den
> tilhørende dokumentation vil også blive gennemlæst - og vægtet
> højere.
>
> Hvis problemet iflg. dokumentationen ikke skulle opstå på maskiner
> med en bestemt opsætning, så ville jeg nok forsøge exploit'en mod
> et par enkelte maskiner med den opsætning, for lige at teste om
> det passer.

Okay. Nu forstår jeg bedre dit res^W ræsson^W ræsån^W^W din tankegang.
:)

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

"Niels Callesøe" skrev

> Er det *virkelig* nødvendigt at aflevere en komplet how-to (hvor
> simpel den end måtte være) der beskriver præcis hvorledes "en
> hver idiot" kan ligge en hvilken som helst upatchet BID-maskine om på
> ryggen?

> Det synes jeg ikke.

Jeg er uenig.

Informationerne er sandsynligvis tilgængelig, for dem der har tænkt sig
at misbruge diverse svagheder i diverse produkter alligevel.

Hvis man ikke færdes i de kredse som vil misbruge svaghederne i diverse
produkter, så har man ikke mulighed for på andre måder at beskytte sig
(fordi man ikke har den nødvendige information).

Jeg stoler ikke på at leverandørene fortæller mig nok om problemet, til
at jeg kan undgå svagheden til de er parate med et fix.

Hvad betyder "BID-maskine"?

Med venlig hilsen

Peder

---

Den Sun, 10 Feb 2002 19:54:34 +0100 skrev Peder Vendelbo Mikkelsen:
>"Niels Callesøe" skrev
>
>> Er det *virkelig* nødvendigt at aflevere en komplet how-to (hvor
>> simpel den end måtte være) der beskriver præcis hvorledes "en
>> hver idiot" kan ligge en hvilken som helst upatchet BID-maskine om på
>> ryggen?
>
>> Det synes jeg ikke.
>
>Jeg er uenig.
>
>Informationerne er sandsynligvis tilgængelig, for dem der har tænkt sig
>at misbruge diverse svagheder i diverse produkter alligevel.

Enig.

>Hvad betyder "BID-maskine"?

*B*lack *I*ce *D*efender, går jeg ud fra...

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox